openssl-Sicherheitsleck?

(DE) System, Installation, Konfiguration, Hardware, Treiber, Netzwerk, Virtualisierung, etc.
(EN) System, Installation, Configuration, Hardware, Drivers, Network, Virtualisation, etc.
Antworten
Benutzeravatar
LotharS
Beiträge: 968
Registriert: So 29. Dez 2013, 20:07
Wohnort: Düsseldorf
Kontaktdaten:

openssl-Sicherheitsleck?

Beitrag von LotharS »

Ist von der bekannt gewordenen Sicherheitslücke in opensssl auch OS/2-eCS betroffen? Möglicherweise ja, oder auch doch nicht, wenn die Portierung auf einer älteren Version basiert? Für Linux waren jedenfalls gestern schon Updates draußen. Eventuell betreibt hier ja jemand einen solchen Server. Ansonsten sind wir ja alle irgendwo "Kunden"...

Soeben bekomme ich nämlich eine (seriöse) Mail, hier gekürzt:
Sehr geehrte Kundin!
Sehr geehrter Kunde!

Gestern, Dienstag 08. April 2014, wurde eine Schwachstelle in der SSL-Verschlüsselung bekannt, die in weiten Teilen des Internets dazu dient, sichere Verbindungen aufzubauen. Die Schnittstelle wird neben Banken, Versicherungen und vielen Unternehmen und Services auch vom Online-Shop der Wiener Linien verwendet. Noch gestern Abend konnte die Sicherheitslücke geschlossen werden.
...
Es bestand die Möglichkeit, eigentlich verschlüsselte Daten in der Kommunikation zwischen Ihnen und dem Shop abzufangen und auszulesen. Weil uns Ihre Datensicherheit das Allerwichtigste ist, und um jedes Risiko für die Zukunft auszuschließen, haben wir Ihr Passwort zur Sicherheit zurückgesetzt. Bitte wählen Sie beim nächsten Login über die "Passwort vergessen" - Funktion ein neues Passwort oder fordern Sie über den unten stehenden Link direkt ein neues Passwort an:...
Mit solcher Transparenz hätte ich nirgends gerechnet, Respekt.
Benutzeravatar
aschn
Beiträge: 1363
Registriert: Mi 25. Dez 2013, 22:47

Beitrag von aschn »

LotharS hat geschrieben: Ist von der bekannt gewordenen Sicherheitslücke in opensssl auch OS/2-eCS betroffen? Möglicherweise ja, oder auch doch nicht, wenn die Portierung auf einer älteren Version basiert?
Quatsch, natürlich nicht, weil's viel zu aktuell ist. OS/2 ist schon seit etlichen Jahren prinzipiell unsicher. Security by Obscurity hält uns am Leben.
LotharS hat geschrieben: Ansonsten sind wir ja alle irgendwo "Kunden"...
Das ist genau das eigentliche Problem. Es geht immer seltener ums OS - auch was Sicherheit betrifft.
Andreas Schnellbacher
Benutzeravatar
Frank Wochatz
Beiträge: 1112
Registriert: So 22. Dez 2013, 22:04
Wohnort: Berlin
Kontaktdaten:

Beitrag von Frank Wochatz »

aschn hat geschrieben: Security by Obscurity
Hahaha, you made my day. Die Formulierung werde ich mir bei Gelegenheit mal ausleihen.

Das schöne daran ist, das es sogar funktioniert. :)
Benutzeravatar
aschn
Beiträge: 1363
Registriert: Mi 25. Dez 2013, 22:47

Beitrag von aschn »

Frank Wochatz hat geschrieben:
aschn hat geschrieben: Security by Obscurity
Hahaha, you made my day. Die Formulierung werde ich mir bei Gelegenheit mal ausleihen.

Das schöne daran ist, das es sogar funktioniert. :)
Das hab ich das erste Mal von Roland Schmalenberg, wahrscheinlich auf der WSE in Köln, gehört. In der IT-Welt (nicht mein Bereich) ist der Ausdruck auch recht geläufig.
Andreas Schnellbacher
Antworten